CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES
2.4 Herramientas para la explotación de vulnerabilidades en redes móviles celulares.
Las cuestiones de seguridad de las redes móviles 2G y 3G, a pesar de su importancia, fueron durante mucho tiempo sólo abordadas desde un punto de vista teórico, debido principalmente a los requisitos de hardware necesarios. Este escenario está cambiando significativamente en los últimos años ya está disponible el hardware y el software que se necesita utilizar para llevar a cabo los diferentes ataques [34].
Varias herramientas basadas en SDR (Radio Definido por Software), baratas y versátiles, han surgido para llevar el dominio de la RF dentro del alcance de un investigador de seguridad [34]. Algunos de estas son:
2.4.1 Analizadores de espectro
El tipo de ataque que realizan estas herramientas es considerado de carácter pasivo, en los cuales se hace una señal básica de lectura. Los ataques pasivos están basados en el análisis de paquetes, donde la adquisición de los mismos puede darse de manera pasiva. A continuación se describen algunas de estas herramientas:
Chipset de RealTek RTL2832U SDR
Está presente en varios modelos de sintonizadores TDT (Televisión Digital Terrestre) por tanto no soporta la transmisión. El rango de frecuencias que soporta este dispositivo SDR oscila dependiendo de los fabricantes. Por ejemplo el Elonics E4000 es de 52 MHz a 2,2 GHz [33]. Ver Anexo K.
FUNcubeDongle
El FUNcubeDongle es un receptor SDR. El receptor cubre un rango de frecuencias desde 150 kHz hasta 1900 MHz y puede recibir un espectro de hasta 192 kHz. Este puede ser utilizado como analizador de espectro ya que no soporta la transmisión. FUNcubeDongle dispone de un conector SMA hembra para la antena y funciona en cualquier ordenador con interfaz USB 2.0 [35]. Ver Anexo K.
OsmoSDR
El proyecto de código abierto OsmoSDR se encargó de desarrollar el software necesario para manejar estos dispositivos: Chipset de RealTek RTL2832U SDR y FUNcubeDongle para poder capturar la señalización que viaja por la interfaz de radio y convertirla a un fichero binario, pudiendo ajustar la frecuencia, el ancho de banda y ganancia [34].
Utilizando el software de GNU Radio se puede adaptar de manera muy sencilla el formato de este fichero binario de OsmoSDR al formato que utiliza el programa Airprobe, encargado de decodificar la señalización capturada con varios tipos de dispositivos (RTL- SDR, FunCube Dongle, USRP, etc) [34].
2.4.2 Falsa BTS Receptor IMSI
Este receptor es en realidad una falsa BTS que se coloca entre el dispositivo móvil y el verdadero BTS [26]. La idea es que una BTS falsa imite la función de la BTS verdadera y el dispositivo móvil del usuario se conecte a la BTS falsa. La imitación de una BTS auténtica incluye el uso de los mismos identificadores y frecuencia de portadora. Como resultado, el atacante detecta el número IMSI del usuario, que de otro modo debe permanecer en secreto. Una de las posibles medidas adicionales es que el atacante puede cambiar al modo que no incluye cifrado. El atacante también puede hacerse pasar por una
persona que el usuario desea contactar e incluso iniciar la comunicación con el usuario [26].
Para implementar un receptor IMSI son necesarios el siguiente hardware y software: Dispositivo USRP (Universal Software Radio Peripheral):
El dispositivo de hardware que se utiliza para establecer la falsa BTS es el USRP. Este permite la implementación de varios sistemas de radio y está conectado al ordenador a través de una interfaz Gigabit Ethernet. Este dispositivo se selecciona principalmente debido a su alta velocidad de muestreo, gran ancho de banda y arquitectura modular [34]. Ver Anexo L.
El dispositivo USRP permite el uso de varias placas daugtherboard para el procesamiento de señales. Existen varias para cubrir diferentes bandas por ejemplo la daugtherboard
(WBX) es un transceptor de banda ancha utilizado para para enviar y recibir señales en el rango de 50 MHz hasta los 2,2 GHz [34].
Con el fin de recibir y enviar señales de radio se utiliza un par de antenas. Por ejemplo en la banda GSM 900 se utilizan antenas VERT900 Antena Vertical, Cuatri-banda, 3 dBi de ganancia, 9 Pulgadas [26].
Radio GNU:
GNU Radio está licenciado bajo la GNU General Public License (GPL). Todo el código es propiedad de la Fundación del Software Libre. Radio GNU es una herramienta para la creación de software de sistemas de radio. Este puede ser usado con hardware de RF externo de bajo costo para crear un SDR. El principal beneficio provisto por este software es la creación de diferentes dispositivos de radio en un solo dispositivo USRP. Una de las características útiles provistas por la Radio GNU es una herramienta de software de análisis de espectro que puede ser usado para detectar la frecuencia portadora de una BTS. También puede ser combinado con la herramienta AirProbe para la recogida de mensajes emitidos por la BTS [26].
OpenBTS:
OpenBTS es una solución de software que contiene las funciones de los subsistemas de conmutación GSM. Soporta funciones de la 2G de GSM sin necesidad utilizar sus módulos
BSC, MSC o VLR. Es decir, que reemplaza la infraestructura tradicional del Subsistema de Conmutación de Red de GSM. Permite implementar una BTS GSM basada en software, a partir de la arquitectura de GNU Radio y del Hardware SDR USRP. Tiene integrado funciones de Recursos de Radio (RR) y realiza también Control de conexión (CC) y Gestión de la Movilidad (MM). También permite los servicios de SMS [26].
AirProbe
Se divide en tres módulos: módulo de adquisición, módulo de demodulación, y el módulo de análisis. El módulo de análisis puede ser sustituido eficazmente mediante el uso de la herramienta Wireshark. Fue una de las primeras herramientas de código abierto dirigida a la investigación de GSM, en particular a la seguridad GSM [36]. Aunque el desarrollo de AirProbe se desaceleró en 2008, sigue siendo un software base útil a utilizar para implementar un Analizador GSM de código abierto [34].
Wireshark:
Es un analizador de paquetes de red o sniffer de software libre. Está basado en la librería
libpcap y su objetivo es capturar los paquetes de la red, mostrando los datos de la forma
más detallada posible. Funciona en Linux y en Windows, a través de una interfaz gráfica de usuario; aunque también incluye una versión basada en texto llamada tshark. Provee muchas opciones de organización y filtrado de información. Además, suele ser utilizado para solucionar problemas en una red y aprender sobre protocolos [37].
2.4.3 Herramientas para explotar las vulnerabilidades del cifrado
El algoritmo de cifrado de las redes móviles 2G es vulnerable y puede ser quebrado mediante el software Kraken y las Rainbow Tables publicadas por Karsten Nohl y que se encuentran disponibles en la Web [4,38].
2.4.4 Herramientas para la clonación física de tarjetas SIM
La clonación física de tarjetas SIM se limita al algoritmo de cifrado común llamado COMP128v1, que para mayor gravedad es el algoritmo de cifrado que la mayoría de los móviles en el mundo tienen implementado [5].
La clonación de la SIM con acceso físico es un proceso bastante simple; se necesita cierto hardware y el acceso físico a la tarjeta SIM [5].
El atacante debe tener un lector de tarjetas SIM. El lector de tarjetas SIM Dekart es compatible con las SIM y USIM, se conecta directamente al puerto USB y funciona con cualquier versión Windows. Ver Anexo K
También se necesita un programa de clonado de tarjeta SIM. Existen varios disponibles en la web, uno de ellos es el XSim 0.9. Permite obtener el IMSI y Ki de la tarjeta SIM. Ver Anexo M
2.5 Conclusiones Parciales
Las vulnerabilidades más importantes de las redes 2G son la autenticación unilateral, el ataque man-in-the-middle y los defectos en los algoritmos de cifrado. Por su parte las redes 3G también poseen algunas vulnerabilidades tales como los ataques de denegación de servicio.
A pesar de que en sus inicios la mayoría de las investigaciones acerca de la seguridad de estas redes abordaban los problemas a nivel teórico, en la actualidad el abaratamiento del hardware y el software necesario para llevar a cabo ataques sobre estas redes llama a la reflexión tanto a los operadores como a los clientes.